• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# AWS KMS 고객 관리형 키로 변경하여 S3 리소스 암호화
통합 Systems Manager 콘솔에 대한 온보딩 프로세스 중에 Quick Setup은 위임된 관리자 계정에 Amazon Simple Storage Service(Amazon S3) 버킷을 생성합니다. 이 버킷은 문제 해결 런북 실행 중에 생성된 진단 출력 데이터를 저장하는 데 사용됩니다. 기본적으로 버킷은 Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화를 사용합니다.
[통합 Systems Manager 콘솔에 대한 S3 버킷 정책](remediate-s3-bucket-policies.md)에서 이러한 정책의 콘텐츠를 검토할 수 있습니다.
그러나 AWS KMS key에 대한 대안으로 고객 관리형 키(CMK)를 사용하여 AWS KMS keys(SSE-KMS)를 통한 서버 측 암호화를 사용할 수 있습니다.
CMK를 사용하도록 Systems Manager를 구성하려면 다음 태스크를 완료합니다.
## 태스크 1: 기존 CMK에 태그 추가
AWS Systems Manager는 다음 키-값 페어로 태그가 지정된 경우에만 CMK를 사용합니다.
+ 키: `SystemsManagerManaged`
+ 값: `true`
다음 절차에 따라 CMK로 S3 버킷을 암호화하기 위한 액세스 권한을 제공합니다.
**기존 CMK에 태그를 추가하려면**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)에서 AWS KMS 콘솔을 엽니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. AWS Systems Manager에 사용할 AWS KMS key를 선택합니다.
1. **태그** 탭을 선택한 다음 **편집**을 선택합니다.
1. **태그 추가**를 선택합니다.
1. 해결 방법:
1. **태그 키**에 **SystemsManagerManaged**을(를) 입력합니다.
1. **태그 값**에 **true**를 입력합니다.
1. **저장**을 선택합니다.
## 태스크 2: 기존 CMK 키 정책 수정
다음 절차에 따라 CMK의 [KMS 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 업데이트하여 AWS Systems Manager 역할이 사용자를 대신하여 S3 버킷을 암호화하도록 허용합니다.
**기존 CMK 키 정책을 수정하려면**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)에서 AWS KMS 콘솔을 엽니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. AWS Systems Manager에 사용할 AWS KMS key를 선택합니다.
1. **키 정책** 탭에서 **편집**을 선택합니다.
1. `Statement` 필드에 다음 JSON 문을 추가하고 {{자리 표시자 값}}을 자신의 정보로 바꿉니다.
조직에서 온보딩된 모든 AWS 계정 ID를 `Principal` 필드의 AWS Systems Manager에 추가해야 합니다.
Amazon S3 콘솔에서 올바른 버킷 이름을 찾으려면 위임된 관리자 계정에서 `do-not-delete-ssm-{{operational-account-id}}-{{home-region}}-{{disambiguator}}` 형식으로 버킷을 찾습니다.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"{{account-id-1}}",
"{{account-id-2}}",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**작은 정보**
또는 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 조건 키를 사용하여 CMK 키 정책을 업데이트하고 CMK에 대한 AWS Systems Manager 액세스 권한을 부여할 수도 있습니다.
## 작업 3: Systems Manager 설정에서 CMK 지정
이전 두 태스크를 완료한 후 다음 절차에 따라 S3 버킷 암호화를 변경합니다. 이 변경을 통해 연결된 Quick Setup 구성 프로세스에서 Systems Manager가 CMK를 수락할 수 있는 권한을 추가할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **진단 및 문제 해결** 탭의 **S3 버킷 암호화 업데이트** 섹션에서 **편집**을 선택합니다.
1. **암호화 설정 사용자 지정(고급)** 확인란을 선택합니다.
1. 검색() 상자에서 기존 키의 ID를 선택하거나 기존 키의 ARN을 붙여넣습니다.
1. **저장**을 선택합니다.